証明書ベースの認証を使用してクライアント VPN エンドポイントを作成する方法を教えてください。

解決方法

クライアント VPN エンドポイントは、すべてのクライアント VPN セッションが終了するサーバーです。AWS によって管理されるこのエンドポイントは、お使いの VPC と OpenVPN ベースのクライアントとの間にセキュアな Transport Layer Security (TLS) 接続を確立します。証明書ベースの認証を使用してクライアント VPN エンドポイントを作成するには、以下の手順を実行します。

サーバーとクライアントの証明書とキーを生成する

クライアントを認証するには、以下を生成し、AWS Certificate Manager (ACM) にアップロードする必要があります。

• サーバー証明書とクライアント証明書
• クライアントキー

クライアント VPN エンドポイントを作成する

クライアント VPN エンドポイントを作成するときは、ACM によって提供されるサーバー証明書の ARN を指定します。VPN が確立された後でクライアントに割り当てられる IP アドレス範囲であるクライアント IPv4 CIDR も選択する必要があります。IP アドレス範囲を VPC CIDR ブロックと重複させることはできないことに注意してください。

CloudWatch Logs を使ってクライアント接続のログ記録を有効化し、クライアントが使用するカスタム DNS サーバーを指定することができます。VPN エンドポイントでスプリットトンネルを有効化してから、転送プロトコルには UDP または TCP を選択することもできます。

クライアントに対する VPN 接続を有効化する

クライアントが VPN セッションを確立できるようにするには、ターゲットネットワークをクライアント VPN エンドポイントに関連付ける必要があります。ターゲットネットワークは、VPC のサブネットです。認証ルールで許可されている場合、クライアントが VPC のネットワーク全体にアクセスするためのサブネットの関連付けは 1 つで十分ですが、追加のサブネットを関連付けて、アベイラビリティーゾーンがダウンした場合に高可用性を提供することができます。

クライアントに VPC リソースまたはその他のネットワークへのアクセスを許可する

クライアントに VPC へのアクセスを許可するには、認証ルールを作成します。認証ルールは、VPC にアクセスできるクライアントを指定します。

また、AWS のサービス、ピアリング接続先 VPC、オンプレミスネットワーク、またはインターネットなどの追加のネットワークへのアクセスも有効化できます。追加のネットワークごとに、クライアント VPN エンドポイントのルートテーブルへのルートを追加してから、クライアントにアクセス権を付与する認証ルールを設定する必要があります。

クライアントに VPC とさまざまなネットワークへのアクセスを許可するには、「VPC の認可ルールを追加する」を参照してください。

クライアント VPN エンドポイント設定ファイルをダウンロードする

最後のステップは、クライアント VPN エンドポイント設定ファイルのダウンロードと準備です。このファイルは、クライアントが VPN クライアントアプリケーションに設定をアップロードできるように、クライアントに提供します。

関連情報

クライアント VPN の開始方法